"Chat de foot" très gênant !
Résolu/Fermé
--red--fire--
Messages postés
1014
Date d'inscription
jeudi 3 juillet 2008
Statut
Membre
Dernière intervention
27 octobre 2013
-
3 juin 2010 à 19:51
Utilisateur anonyme - 12 août 2010 à 13:32
Utilisateur anonyme - 12 août 2010 à 13:32
A voir également:
- "Chat de foot" très gênant !
- Coco chat - Accueil - Réseaux sociaux
- Remplaçant de Coco : quelles solutions pour tchater gratuitement en ligne ? - Accueil - Réseaux sociaux
- Chat engine - Télécharger - Outils Internet
- L'équipe live foot - Accueil - TV & Vidéo
- Coco chat gratuit - Forum Google Chrome
163 réponses
--red--fire--
Messages postés
1014
Date d'inscription
jeudi 3 juillet 2008
Statut
Membre
Dernière intervention
27 octobre 2013
135
5 juin 2010 à 15:05
5 juin 2010 à 15:05
Résultats envoyés en mp
--red--fire--
Messages postés
1014
Date d'inscription
jeudi 3 juillet 2008
Statut
Membre
Dernière intervention
27 octobre 2013
135
Modifié par --red--fire-- le 5/06/2010 à 18:07
Modifié par --red--fire-- le 5/06/2010 à 18:07
tssss
Extras.Txt :
OTL.Txt :
Extras.Txt :
OTL.Txt :
qwerty-
Messages postés
14568
Date d'inscription
lundi 11 août 2008
Statut
Contributeur
Dernière intervention
29 décembre 2022
1 447
5 juin 2010 à 15:18
5 juin 2010 à 15:18
oui red fire, t'imagines bien que si tous ceux qu'ils désinfectent répondent en MP, sa messagerie devient un forum et le mp n'as pas de raison d'être...
--red--fire--
Messages postés
1014
Date d'inscription
jeudi 3 juillet 2008
Statut
Membre
Dernière intervention
27 octobre 2013
135
5 juin 2010 à 15:24
5 juin 2010 à 15:24
c'était juste pour les liens
Utilisateur anonyme
5 juin 2010 à 15:30
5 juin 2010 à 15:30
▶ Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage
* - Coche Afficher les fichiers et dossiers cachés
* - Décoche Masquer les extensions des fichiers dont le type est connu
* - Décoche Masquer les fichiers protégés du système d'exploitation (recommandé)
▶ clique sur Appliquer, puis OK.
N'oublie pas de recacher à nouveau les fichiers cachés et protégés du système d'exploitation en fin de désinfection, c'est important
Fais analyser le(s) fichier(s) suivants sur Virustotal :
Virus Total
* Clique sur Parcourir en haut, choisis Poste de travail et cherche ces fichiers :
C:\WINDOWS\System32\wlcnq.exe
* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
* Une nouvelle fenêtre de ton navigateur va apparaître
* Clique alors sur les deux fleches
* Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
* Enfin colle le résultat dans ta prochaine réponse.
Note : Pour analyser un autre fichier, clique en bas sur Autre fichier.
ensuite :
▶ clic droit "executer en tant qu'administrateur" sur OTL.exe pour le lancer.
▶Copie la liste qui se trouve en gras ci-dessous,
▶ colle-la dans la zone sous "Personnalisation" :
:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe
:OTL
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\vqrrc.exe) - C:\WINDOWS\system32\vqrrc.exe ()
@Alternate Data Stream - 136 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:661DFA1C
:Files
C:\WINDOWS\System32\tmp.reg
C:\WINDOWS\System32\vqrrc.exe
C:\WINDOWS\System32\lsprst7.dll
C:\WINDOWS\System32\ssprs.dll
C:\WINDOWS\SurCode.INI
C:\WINDOWS\317.exe.ini
C:\WINDOWS\513.exe.ini
:commands
[emptytemp]
[start explorer]
[reboot]
▶ Clique sur "Correction" pour lancer la suppression.
▶ Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.
* - Coche Afficher les fichiers et dossiers cachés
* - Décoche Masquer les extensions des fichiers dont le type est connu
* - Décoche Masquer les fichiers protégés du système d'exploitation (recommandé)
▶ clique sur Appliquer, puis OK.
N'oublie pas de recacher à nouveau les fichiers cachés et protégés du système d'exploitation en fin de désinfection, c'est important
Fais analyser le(s) fichier(s) suivants sur Virustotal :
Virus Total
* Clique sur Parcourir en haut, choisis Poste de travail et cherche ces fichiers :
C:\WINDOWS\System32\wlcnq.exe
* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
* Une nouvelle fenêtre de ton navigateur va apparaître
* Clique alors sur les deux fleches
* Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
* Enfin colle le résultat dans ta prochaine réponse.
Note : Pour analyser un autre fichier, clique en bas sur Autre fichier.
ensuite :
▶ clic droit "executer en tant qu'administrateur" sur OTL.exe pour le lancer.
▶Copie la liste qui se trouve en gras ci-dessous,
▶ colle-la dans la zone sous "Personnalisation" :
:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe
:OTL
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\vqrrc.exe) - C:\WINDOWS\system32\vqrrc.exe ()
@Alternate Data Stream - 136 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:661DFA1C
:Files
C:\WINDOWS\System32\tmp.reg
C:\WINDOWS\System32\vqrrc.exe
C:\WINDOWS\System32\lsprst7.dll
C:\WINDOWS\System32\ssprs.dll
C:\WINDOWS\SurCode.INI
C:\WINDOWS\317.exe.ini
C:\WINDOWS\513.exe.ini
:commands
[emptytemp]
[start explorer]
[reboot]
▶ Clique sur "Correction" pour lancer la suppression.
▶ Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
--red--fire--
Messages postés
1014
Date d'inscription
jeudi 3 juillet 2008
Statut
Membre
Dernière intervention
27 octobre 2013
135
5 juin 2010 à 15:45
5 juin 2010 à 15:45
Fichier wlcnq.exe reçu le 2010.06.05 13:36:27 (UTC) Antivirus Version Dernière mise à jour Résultat a-squared 5.0.0.26 2010.06.05 - AhnLab-V3 2010.06.05.00 2010.06.04 - AntiVir 8.2.2.6 2010.06.04 - Antiy-AVL 2.0.3.7 2010.06.04 - Authentium 5.2.0.5 2010.06.05 - Avast 4.8.1351.0 2010.06.05 - Avast5 5.0.332.0 2010.06.05 - AVG 9.0.0.787 2010.06.05 - BitDefender 7.2 2010.06.05 - CAT-QuickHeal 10.00 2010.06.05 - ClamAV 0.96.0.3-git 2010.06.05 - Comodo 4995 2010.06.05 - DrWeb 5.0.2.03300 2010.06.05 - eSafe 7.0.17.0 2010.06.03 - eTrust-Vet 35.2.7528 2010.06.04 - F-Prot 4.6.0.103 2010.06.04 - F-Secure 9.0.15370.0 2010.06.05 - Fortinet 4.1.133.0 2010.06.05 - GData 21 2010.06.05 - Ikarus T3.1.1.84.0 2010.06.05 - Jiangmin 13.0.900 2010.06.05 - Kaspersky 7.0.0.125 2010.06.05 Heur.StartPage McAfee 5.400.0.1158 2010.06.05 - McAfee-GW-Edition 2010.1 2010.06.05 Heuristic.BehavesLike.Win32.Trojan.H Microsoft 1.5802 2010.06.05 - NOD32 5174 2010.06.05 - Norman 6.04.12 2010.06.05 W32/Malware nProtect 2010-06-05.01 2010.06.05 - Panda 10.0.2.7 2010.06.05 - PCTools 7.0.3.5 2010.06.05 - Prevx 3.0 2010.06.05 - Rising 22.50.05.03 2010.06.05 - Sophos 4.53.0 2010.06.05 - Sunbelt 6409 2010.06.05 - Symantec 20101.1.0.89 2010.06.05 - TheHacker 6.5.2.0.292 2010.06.04 - TrendMicro 9.120.0.1004 2010.06.05 - TrendMicro-HouseCall 9.120.0.1004 2010.06.05 - VBA32 3.12.12.5 2010.06.04 - ViRobot 2010.6.5.2339 2010.06.05 - VirusBuster 5.0.27.0 2010.06.04 - Information additionnelle File size: 18432 bytes MD5...: 674825e7397894b1ce4dd481e66b19f4 SHA1..: 02962d23a7a27292bc324693b11263cfce53c827 SHA256: 341f7ca0d054726cdb656c3a1755edc4d7f3b64a967647b118c1380075d7f548 ssdeep: 384:1ghMXCCFH+A9N0ECkk5JzpdxRpEJoK62yPGmJRh:1DjH+A8ECzv2oERa<br> PEiD..: - PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x1130<br>timedatestamp.....: 0x4c01e0b3 (Sun May 30 03:51:15 2010)<br>machinetype.......: 0x14c (I386)<br><br>( 5 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x242c 0x2600 5.82 dd49c21336dd17e9fd82e522a9523b11<br>.data 0x4000 0x76c 0x800 5.89 c6db5234d4aac984f82933109c4aa7f4<br>.rdata 0x5000 0xba8 0xc00 5.37 4f6d63ad25cd82b00a1eaa9ecca6bfe1<br>.bss 0x6000 0xc4 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<br>.idata 0x7000 0x878 0xa00 4.14 f26a24d0423d9694417f57eed7bad5c3<br><br>( 7 imports ) <br>> ADVAPI32.DLL: RegCloseKey, RegCreateKeyExA, RegOpenKeyExA, RegQueryValueExA, RegSetValueExA<br>> KERNEL32.dll: AddAtomA, CloseHandle, CopyFileA, CreateFileA, ExitProcess, FindAtomA, GetAtomNameA, GetConsoleWindow, GetFileAttributesA, GetLastError, GetModuleFileNameA, GetTempPathA, MultiByteToWideChar, OpenProcess, SetUnhandledExceptionFilter, Sleep, VirtualProtect, VirtualQuery, WriteFile<br>> msvcrt.dll: __getmainargs, __p__environ, __p__fmode, __set_app_type, _assert, _cexit, _errno, _findclose, _findfirst, _findnext, _fullpath, _iob, _onexit, _setmode, _stricmp, abort, atexit, fclose, fopen, fputc, fread, free, fseek, ftell, fwrite, malloc, memcpy, memset, printf, puts, rand, rewind, signal, srand, strcat, strcpy, strlen, strrchr, strstr, strtok, time, vfprintf<br>> SHELL32.DLL: SHGetFolderPathA, ShellExecuteA<br>> USER32.dll: ShowWindow, wsprintfA<br>> OLE32.dll: CoCreateInstance, CoInitialize<br>> PSAPI.DLL: EnumProcesses, GetModuleBaseNameA<br><br>( 0 exports ) <br> RDS...: NSRL Reference Data Set<br>- pdfid.: - trid..: Win32 Executable Generic (58.2%)<br>Win16/32 Executable Delphi generic (14.1%)<br>Generic Win/DOS Executable (13.6%)<br>DOS Executable Generic (13.6%)<br>VXD Driver (0.2%) sigcheck:<br>publisher....: n/a<br>copyright....: n/a<br>product......: n/a<br>description..: n/a<br>original name: n/a<br>internal name: n/a<br>file version.: n/a<br>comments.....: n/a<br>signers......: -<br>signing date.: -<br>verified.....: Unsigned<br> Symantec Reputation Network: Suspicious.Insight https://www.broadcom.com/support/security-center
et
All processes killed ========== PROCESSES ========== No active process named explorer.exe was found! No active process named iexplore.exe was found! No active process named firefox.exe was found! Process msnmsgr.exe killed successfully! No active process named Teatimer.exe was found! ========== OTL ========== Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\Locked deleted successfully. Registry key HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Restrictions\ not found. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:C:\WINDOWS\system32\vqrrc.exe deleted successfully. C:\WINDOWS\system32\vqrrc.exe moved successfully. ADS C:\Documents and Settings\All Users\Application Data\TEMP:661DFA1C deleted successfully. ========== FILES ========== C:\WINDOWS\System32\tmp.reg moved successfully. File\Folder C:\WINDOWS\System32\vqrrc.exe not found. C:\WINDOWS\System32\lsprst7.dll moved successfully. C:\WINDOWS\System32\ssprs.dll moved successfully. C:\WINDOWS\SurCode.INI moved successfully. C:\WINDOWS\317.exe.ini moved successfully. C:\WINDOWS\513.exe.ini moved successfully. ========== COMMANDS ========== [EMPTYTEMP] User: Administrateur User: All Users User: ASPNET User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 41620 bytes User: HelpAssistant User: Invité User: LocalService ->Temp folder emptied: 66016 bytes ->Temporary Internet Files folder emptied: 32969 bytes User: Loic ->Temp folder emptied: 109822 bytes ->Temporary Internet Files folder emptied: 1062738 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 65194604 bytes ->Flash cache emptied: 1973532 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 28570652 bytes ->Flash cache emptied: 2102 bytes User: SUPPORT_388945a0 %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 131702 bytes %systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes %systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 93,00 mb OTL by OldTimer - Version 3.2.5.3 log created on 06052010_153922 Files\Folders moved on Reboot... C:\Documents and Settings\Loic\Local Settings\Temp\~DF8450.tmp moved successfully. File\Folder C:\WINDOWS\temp\Perflib_Perfdata_3cc.dat not found! C:\WINDOWS\temp\ZLT06944.TMP moved successfully. Registry entries deleted on Reboot...
Utilisateur anonyme
5 juin 2010 à 15:49
5 juin 2010 à 15:49
supprime ce que je t ai fait analyser sur virus total
ensuite :
Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.
▶ Télécharge :
Malwarebytes
ou :
Malwarebytes
▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .
(NB : Si tu as un message d'erreur t'indiquant qu'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX
▶ Potasses le Tuto pour te familiariser avec le prg :
( cela dit, il est très simple d'utilisation ).
relance malwarebytes en suivant scrupuleusement ces consignes :
! Déconnecte toi et ferme toutes applications en cours !
▶ Lance Malwarebyte's .
Fais un examen dit "Complet" .
▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
▶ à la fin tu cliques sur "résultat" .
▶ Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .
▶ Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !
▶ Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)
ensuite :
Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.
▶ Télécharge :
Malwarebytes
ou :
Malwarebytes
▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .
(NB : Si tu as un message d'erreur t'indiquant qu'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX
▶ Potasses le Tuto pour te familiariser avec le prg :
( cela dit, il est très simple d'utilisation ).
relance malwarebytes en suivant scrupuleusement ces consignes :
! Déconnecte toi et ferme toutes applications en cours !
▶ Lance Malwarebyte's .
Fais un examen dit "Complet" .
▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
▶ à la fin tu cliques sur "résultat" .
▶ Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .
▶ Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !
▶ Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)
--red--fire--
Messages postés
1014
Date d'inscription
jeudi 3 juillet 2008
Statut
Membre
Dernière intervention
27 octobre 2013
135
5 juin 2010 à 17:37
5 juin 2010 à 17:37
Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Version de la base de données: 4170 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 05/06/2010 17:35:54 mbam-log-2010-06-05 (17-35-54).txt Type d'examen: Examen complet (C:\|) Elément(s) analysé(s): 384389 Temps écoulé: 1 heure(s), 10 minute(s), 33 seconde(s) Processus mémoire infecté(s): 0 Module(s) mémoire infecté(s): 0 Clé(s) du Registre infectée(s): 0 Valeur(s) du Registre infectée(s): 0 Elément(s) de données du Registre infecté(s): 0 Dossier(s) infecté(s): 0 Fichier(s) infecté(s): 0 Processus mémoire infecté(s): (Aucun élément nuisible détecté) Module(s) mémoire infecté(s): (Aucun élément nuisible détecté) Clé(s) du Registre infectée(s): (Aucun élément nuisible détecté) Valeur(s) du Registre infectée(s): (Aucun élément nuisible détecté) Elément(s) de données du Registre infecté(s): (Aucun élément nuisible détecté) Dossier(s) infecté(s): (Aucun élément nuisible détecté) Fichier(s) infecté(s): (Aucun élément nuisible détecté)
--red--fire--
Messages postés
1014
Date d'inscription
jeudi 3 juillet 2008
Statut
Membre
Dernière intervention
27 octobre 2013
135
5 juin 2010 à 17:38
5 juin 2010 à 17:38
A savoir, j'ai déjà fait une analyse avec malwabytes auparavant.
--red--fire--
Messages postés
1014
Date d'inscription
jeudi 3 juillet 2008
Statut
Membre
Dernière intervention
27 octobre 2013
135
5 juin 2010 à 17:50
5 juin 2010 à 17:50
Oui, il n'existe plus !
Utilisateur anonyme
Modifié par gen-hackman le 5/06/2010 à 17:53
Modifié par gen-hackman le 5/06/2010 à 17:53
DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)
▶ Télécharge List_Kill'em
et enregistre le sur ton bureau
double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation
Laisse coché :
♦ Executer Shortcut
♦ Executer List_Kill'em
une fois terminée , clic sur "terminer" et le programme se lancera seul
choisis l'option Search
▶ laisse travailler l'outil
à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.
▶ Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"
?G3?-?@¢??@?(TM)©®?
▶ Télécharge List_Kill'em
et enregistre le sur ton bureau
double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation
Laisse coché :
♦ Executer Shortcut
♦ Executer List_Kill'em
une fois terminée , clic sur "terminer" et le programme se lancera seul
choisis l'option Search
▶ laisse travailler l'outil
à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.
▶ Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"
?G3?-?@¢??@?(TM)©®?
--red--fire--
Messages postés
1014
Date d'inscription
jeudi 3 juillet 2008
Statut
Membre
Dernière intervention
27 octobre 2013
135
5 juin 2010 à 17:54
5 juin 2010 à 17:54
Je n'ai plus "chat de foot" au passage, mais j'attends des instruction pour faire un nettoyage complet.
Utilisateur anonyme
5 juin 2010 à 17:54
5 juin 2010 à 17:54
--red--fire--
Messages postés
1014
Date d'inscription
jeudi 3 juillet 2008
Statut
Membre
Dernière intervention
27 octobre 2013
135
5 juin 2010 à 17:58
5 juin 2010 à 17:58
oui oui, un moment :)
--red--fire--
Messages postés
1014
Date d'inscription
jeudi 3 juillet 2008
Statut
Membre
Dernière intervention
27 octobre 2013
135
5 juin 2010 à 20:32
5 juin 2010 à 20:32
Scan terriblement long !
Present !! : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser : {0E5CBF21-D15F-11D0-8301-00AA005B4383} Present !! : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe" Present !! : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe" Present !! : HKCR\CLSID\{0055c089-8582-441b-a0bf-17b458c2a3a8} Present !! : HKCR\CLSID\{248dd896-bb45-11cf-9abc-0080c7e7b78d} Present !! : HKCR\CLSID\{248dd897-bb45-11cf-9abc-0080c7e7b78d} Present !! : HKCR\Interface\{248dd892-bb45-11cf-9abc-0080c7e7b78d} Present !! : HKCR\Interface\{248dd893-bb45-11cf-9abc-0080c7e7b78d} Present !! : HKCR\TypeLib\{248dd890-bb45-11cf-9abc-0080c7e7b78d} ============ catchme 0.3.1398.3 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2010-06-05 20:31:20 Windows 5.1.2600 Service Pack 3 FAT NTAPI scanning hidden processes ... scanning hidden services ... scanning hidden autostart entries ... HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows AppInit_DLLs = acaptuser32.dll??? scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net device: opened successfully user: error reading MBR called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x8A3B1EC5]<< kernel: MBR read successfully [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] FirstRunDisabled REG_DWORD 1 (0x1) AntiVirusDisableNotify REG_DWORD 0 (0x0) FirewallDisableNotify REG_DWORD 0 (0x0) UpdatesDisableNotify REG_DWORD 0 (0x0) AntiVirusOverride REG_DWORD 0 (0x0) FirewallOverride REG_DWORD 0 (0x0) AntiSpyWareDisableNotify REG_DWORD 0 (0x0) InternetSettingsDisableNotify REG_DWORD 0 (0x0) UacDisableNotify REG_DWORD 0 (0x0) ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ End of scan : 20:31:23,70
Utilisateur anonyme
5 juin 2010 à 20:36
5 juin 2010 à 20:36
je peux l'avoir entier ?
heberge-le sur cijoint.fr et donne le lien obtenu
heberge-le sur cijoint.fr et donne le lien obtenu
--red--fire--
Messages postés
1014
Date d'inscription
jeudi 3 juillet 2008
Statut
Membre
Dernière intervention
27 octobre 2013
135
5 juin 2010 à 20:39
5 juin 2010 à 20:39
Il est entier
Utilisateur anonyme
5 juin 2010 à 20:41
5 juin 2010 à 20:41
▶ Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau.
mais cette fois-ci :
▶ choisis l'Option Clean
ton PC va redemarrer,
laisse travailler l'outil.
en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,
▶ colle le contenu dans ta reponse
mais cette fois-ci :
▶ choisis l'Option Clean
ton PC va redemarrer,
laisse travailler l'outil.
en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,
▶ colle le contenu dans ta reponse
--red--fire--
Messages postés
1014
Date d'inscription
jeudi 3 juillet 2008
Statut
Membre
Dernière intervention
27 octobre 2013
135
5 juin 2010 à 22:16
5 juin 2010 à 22:16
On peut le faire plus rapidement ? car c'est vraiment très long. Si je n'ai pas le choix, je le ferais cette nuit et posterais le rapport demain.
qwerty-
Messages postés
14568
Date d'inscription
lundi 11 août 2008
Statut
Contributeur
Dernière intervention
29 décembre 2022
1 447
5 juin 2010 à 23:53
5 juin 2010 à 23:53
hé la jeune padawan !
une des vertus du jedi est la patience...
:)
une des vertus du jedi est la patience...
:)
--red--fire--
Messages postés
1014
Date d'inscription
jeudi 3 juillet 2008
Statut
Membre
Dernière intervention
27 octobre 2013
135
6 juin 2010 à 10:47
6 juin 2010 à 10:47
¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.0.0.4 ¤¤¤¤¤¤¤¤¤¤ User : Loic (Administrateurs) Update on 23/05/2010 by g3n-h@ckm@n ::::: 15.00 Start at: 23:52:21 | 05/06/2010 Processeur Intel Pentium III Xeon Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3 Internet Explorer 8.0.6001.18702 Windows Firewall Status : Disabled AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ] FW : ZoneAlarm Firewall[ Enabled ]9.1.007.002 C:\ -> Disque fixe local | 465,76 Go (277,81 Go free) [Dédé] | NTFS D:\ -> Disque CD-ROM E:\ -> Disque fixe local | 103,78 Go (44,02 Go free) [Dédé 2] | NTFS ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Program Files\Avira\AntiVir Desktop\sched.exe C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe C:\Program Files\Fichiers communs\Acronis\CDP\afcdpsrv.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Avira\AntiVir Desktop\avguard.exe C:\WINDOWS\system32\cisvc.exe C:\Program Files\Java\jre6\bin\jqs.exe C:\Program Files\NetLimiter 2 Pro\nlsvc.exe C:\Program Files\CDBurnerXP\NMSAccessU.exe C:\Program Files\NVIDIA Corporation\nTune\nTuneService.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\WINDOWS\System32\alg.exe C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\Program Files\NetLimiter 2 Pro\NLClient.exe C:\Program Files\List_Kill'em\ERUNT.EXE C:\Program Files\List_Kill'em\pv.exe ¤¤¤¤¤¤¤¤¤¤ Files/folders : Quarantined & Deleted !! : C:\WINDOWS\Temp\ZLT04dd1.TMP Quarantined & Deleted !! : C:\WINDOWS\Temp\ZLT05393.TMP ======= Hosts : ======= 127.0.0.1 localhost ======== Registry ======== Deleted : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser : {0E5CBF21-D15F-11D0-8301-00AA005B4383} Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe" Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe" Deleted : HKCR\CLSID\{0055c089-8582-441b-a0bf-17b458c2a3a8} Deleted : HKCR\CLSID\{248dd896-bb45-11cf-9abc-0080c7e7b78d} Deleted : HKCR\Interface\{248dd892-bb45-11cf-9abc-0080c7e7b78d} Deleted : HKCR\Interface\{248dd893-bb45-11cf-9abc-0080c7e7b78d} ================= Internet Explorer ================= [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main] Start Page REG_SZ https://www.msn.com/fr-fr/?ocid=iehp Local Page REG_SZ C:\WINDOWS\system32\blank.htm Default_Search_URL REG_SZ https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF Default_Page_URL REG_SZ https://www.msn.com/fr-fr/?ocid=iehp Search Page REG_SZ https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] Start Page REG_SZ https://www.google.com/?gws_rd=ssl Local Page REG_SZ C:\WINDOWS\system32\blank.htm Search Page REG_SZ http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch =============== Security Center =============== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] FirstRunDisabled REG_DWORD 1 (0x1) AntiVirusDisableNotify REG_DWORD 0 (0x0) FirewallDisableNotify REG_DWORD 0 (0x0) UpdatesDisableNotify REG_DWORD 0 (0x0) AntiVirusOverride REG_DWORD 1 (0x1) FirewallOverride REG_DWORD 1 (0x1) AntiSpyWareDisableNotify REG_DWORD 0 (0x0) InternetSettingsDisableNotify REG_DWORD 0 (0x0) UacDisableNotify REG_DWORD 0 (0x0) ======== Services ========= Ndisuio : Start = 3 EapHost : Start = 2 Ip6Fw : Start = 2 SharedAccess : Start = 2 wuauserv : Start = 2 wscsvc : Start = 2 ============ Disk Cleaned anti-ver blaster : OK Prefetch cleaned ================ Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x8A3A8EC5]<< kernel: MBR read successfully user & kernel MBR OK ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Utilisateur anonyme
6 juin 2010 à 11:36
6 juin 2010 à 11:36
salut
▶ Télécharge : Gmer (by Przemyslaw Gmerek) et enregistre-le sur ton bureau
Desactive toutes tes protections le temps du scan de gMer
Pour XP => double clique sur gmer.exe
Pour Vista et 7 => clique droit "executer en tant que...."
▶ Dezippe gmer ,cliques sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre.
▶ Les lignes rouges indiquent la presence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)
Ensuite
▶ sur les lignes rouge:
▶ Services:cliques droit delete service
▶ Process:cliques droit kill process
▶ Adl ,file:cliques droit delete files
▶ Télécharge : Gmer (by Przemyslaw Gmerek) et enregistre-le sur ton bureau
Desactive toutes tes protections le temps du scan de gMer
Pour XP => double clique sur gmer.exe
Pour Vista et 7 => clique droit "executer en tant que...."
▶ Dezippe gmer ,cliques sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre.
▶ Les lignes rouges indiquent la presence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)
Ensuite
▶ sur les lignes rouge:
▶ Services:cliques droit delete service
▶ Process:cliques droit kill process
▶ Adl ,file:cliques droit delete files